Minęły cztery lata od momentu wejścia w życie RODO, czyli rozporządzenia, które wyznaczyło nowe standardy w ochronie danych osobowych. Wciąż jednak wielu przedsiębiorców popełnia błędy, stosując te przepisy.
Gdzie błądzimy
Najczęściej popełniane błędy dotyczą trzech obszarów: tworzenia dokumentacji, rozumienia samej definicji danych osobowych i stosowania zasad zgodnie z prawem.
– Konsekwencją takich pomyłek mogą być wysokie kary – przestrzega Jagienka Smura, konsultant do spraw RODO i bezpieczeństwa informacji w firmie Lancea Security Consulting.
Niektórym firmom zdarza się naruszać przepisy o RODO, ponieważ bazują na przestarzałych zasadach. Obecnie każda organizacja musi mieć rejestr czynności przetwarzania zawierający opis sposobów zabezpieczenia danych. Jego profesjonalna nazwa to: Opis Technicznych i Organizacyjnych Środków Bezpieczeństwa. Powinien on być oczywiście zgodny z zasadami wprowadzonymi w życie w 2018 r. Ponadto każda organizacja zobligowana jest do przeprowadzenia analizy ryzyka, która pomoże dostosować poziom zabezpieczeń danych do wymogów. W praktyce jednak wiele tych dokumentów opiera się na zasadach z czasów sprzed unijnego rozporządzenia, czyli obowiązywania Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym. Treść takiej dokumentacji jest niewiele warta – zarówno z formalnego, jak i technicznego punktu widzenia.
– Zasady wywodzące się z Polityki Bezpieczeństwa i Instrukcji Zarządzania Systemem Informatycznym to przepisy sprzed około 15 lat. Najważniejszy jest aspekt technologiczny. Drastycznie zmienił się sposób przechowywania i przetwarzania wszelkich danych, w tym osobowych. Jeszcze nie tak dawno większość dokumentacji tworzono na papierze i przechowywano w szafie pancernej. Dziś wszystkie te procesy uległy cyfryzacji. To oznacza, że mamy do czynienia z innym rodzajem ryzyka ich wycieku, które w dodatku jest znacznie większe niż w czasach dominacji papieru. W tej sytuacji główną rolę pełni cyberbezpieczeństwo – wyjaśnia Szymon Bąk, specjalista do spraw ubezpieczeń cybernetycznych w firmie EIB.
Kolejny problem to błędne rozumienie samej definicji danych osobowych. Niektóre informacje są przez firmy uznawane za nieistotne. Tymczasem w praktyce wszystkie dane o człowieku powinny być chronione. Błędne podejście ma swoje źródło w przeszłości – w Polsce przed 2004 r. za dane osobowe uznawało się wyłącznie informacje identyfikacyjne. Natomiast, zgodnie z definicją zapisaną w RODO, dane osobowe to wszystkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Chodzi nie tylko o imię, nazwisko, datę urodzenia czy płeć. Dane osobowe to również informacje o posiadanych nieruchomościach czy pojazdach, a nawet zdjęcia. Warto się zatem dwa razy zastanowić, zanim opublikujemy jakiekolwiek zdjęcia chociażby w mediach społecznościowych.
Błędy powstają także na skutek zawiłości formalnych. Aby przetwarzanie danych odbywało się zgodnie z prawem, musi spełniać warunki zapisane w konkretnych artykułach RODO. Ważny jest art. 6 i 9. Można popełnić błąd, stosując te przepisy rozłącznie. Art. 6 jest podstawą, a art. 9 stanowi jego uzupełnienie w przypadku wrażliwych danych.
Sposoby zabezpieczenia
Jagienka Smura radzi przedsiębiorcom, którzy postępują według błędnego modelu, aby poprawili swoje klauzule informacyjne i przeredagowali Rejestr Czynności Przetwarzania Danych. To pozwoli im uchronić się przed karami, które mogą być nakładane za naruszanie RODO.
Co ciekawe, na wypadek błędów w stosowaniu unijnego rozporządzenia można się ubezpieczyć.
– Podstawą programu ochrony powinno być ubezpieczenie od skutków zdarzeń cybernetycznych, ponieważ dane co do zasady przechowujemy i przetwarzamy elektronicznie. Umożliwia ono m.in. wypłatę pieniędzy na pokrycie kosztów związanych z zabezpieczeniem i odtworzeniem zasobów cyfrowych, jeśli dojdzie do wycieku w efekcie ataku hakerskiego lub błędu ludzkiego – tłumaczy Szymon Bąk.
Polisa pokryje także wydatki na działania wymagane przez RODO w razie konieczności przeprowadzenia akcji informacyjnej wśród potencjalnych ofiar wycieku. Ponadto zapewnia zwrot kosztów związanych z postępowaniami administracyjnymi i sądowymi oraz wypłatę odszkodowań. Na ogół cyberpolisa uwzględnia także zapłatę kar nałożonych w efekcie naruszenia RODO.
– Warto uwzględnić także polisę D&O, czyli odpowiedzialności cywilnej członków kadry menedżerskiej. Nieprawidłowości w tworzeniu dokumentacji, definiowaniu danych osobowych i przetwarzaniu ich to zazwyczaj rezultat niewłaściwej decyzji podjętej przez konkretną osobę. Właściciele firmy czy akcjonariusze mogą zatem wystąpić z roszczeniami wobec decydentów, którym będą chcieli przypisać odpowiedzialność za straty. Mogą oczekiwać przykładowo zrefundowania kar administracyjnych czy wyrównania innych szkód wynikających z incydentu RODO – tłumaczy Szymon Bąk.
D&O zapewni oskarżonym menedżerom pokrycie kosztów obrony oraz strat, jeśli okaże się, że wynikają one rzeczywiście z zaniedbań wspomnianych osób.